漏洞标题
N/A
漏洞描述信息
在wPortfolio 0.3及其更早版本中,admin/userinfo.php中的account_save action不需要身份验证,也无需了解原始密码,这允许远程攻击者通过修改密码和password_retype参数来更改管理员账户密码。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The account_save action in admin/userinfo.php in wPortfolio 0.3 and earlier does not require authentication and does not require knowledge of the original password, which allows remote attackers to change the admin account password via modified password and password_retype parameters.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
wPortfolio '/admin/userinfo.php' 权限绕过漏洞
漏洞描述信息
wPortfolio是一个基于PHP和Mysql的发布图片库的内容管理系统。 wPortfolio 0.3 及其早期版本的admin/userinfo.php中的account_save操作没有校验管理权限也没有要求原密码的信息,这会允许远程攻击者借助修改过的密码和password_retype参数,改变管理账户密码。
CVSS信息
N/A
漏洞类别
授权问题